Skip to content

Notizen zum Ereignisprotokoll

4688 ist der Prozesserstellungs-Datensatz des Basis-OS, vorausgesetzt Command-Line-Auditing ist an. Hier ist, was drinsteht, wie er sich von Sysmon 1 unterscheidet und welche Triage-Muster sich lohnen.
4720 feuert jedes Mal, wenn ein Benutzerkonto erstellt wird, lokal oder Domäne. Lies es mit 4722, 4724 und 4732, und du fängst Persistenz- und Lateral-Movement-Konten innerhalb von Minuten.
4768 ist der DC-Datensatz jedes ausgestellten TGT. Lies ihn über den Result-Code und das Pre-Auth-Flag, und du erkennst AS-REP-Roasting, Brute Force und Missbrauch unconstrained delegation.
4769 ist der DC-Datensatz jeder Service-Ticket-Anfrage. Lies ihn über den Verschlüsselungstyp und du erkennst Kerberoasting. Lies ihn mit 4768 und du erkennst Pass-the-Ticket.
7036 feuert jedes Mal, wenn ein Dienst startet oder stoppt. Gepaart mit 7045 bestätigt es, ob die Persistenz tatsächlich gelaufen ist. Allein offenbart es Dienstmissbrauch, Defense Evasion und Boot-Anomalien.
Fünf Wege, eine Windows .evtx-Datei zu öffnen: im Browser, im Event Viewer, mit wevtutil, mit EvtxECmd oder mit python-evtx. Wählen Sie nach Host-OS und wie viel Reibung Sie aushalten.
Eine .evtx-Datei ist ein binäres Windows-Ereignisprotokoll. Wo sie liegen, was drinsteckt, wie sie sich von .evt unterscheiden und wie man sie öffnet. Keine Installation nötig.
Vier Wege, .evtx von einem Live-Windows-Host zu ziehen: wevtutil, FTK Imager, KAPE, Roh-NTFS. Mit den Beweisketten-Kompromissen für jede und den Befehlen, die du tatsächlich tippst.
4625 ist der Datensatz für fehlgeschlagene Anmeldungen. Lies ihn richtig und du erkennst Password Sprays, Credential Stuffing und Kerberos-Missbrauch, bevor sie zum Erfolg werden.